排他スコープについてUnderstanding exclusive scopes

 

製品: Exchange Server 2013Applies to: Exchange Server 2013

排他的スコープとは、管理役割の割り当てに関連付けることができる特別な種類の明示的な管理スコープのことです。Exclusive scopes are a special type of explicit management scope that can be associated with management role assignments. 排他スコープは、CEO のメールボックスのような非常に重要なオブジェクトから成るグループが存在し、誰がそれらのオブジェクトを管理するためにアクセスできるかを厳格に管理する状況に対応できるように設計されたものです。Exclusive scopes are designed to enable situations where you have a group of highly valuable objects, such as a CEO mailbox, and you want to tightly control who has access to manage those objects.

排他スコープを持つ役割の割り当てを排他的な役割の割り当てと呼びます。A role assignment that has an exclusive scope is called an exclusive role assignment.

排他的な管理スコープを作成した場合、その排他スコープまたは同等の排他スコープを割り当てられているユーザーのみが、そのスコープに一致するオブジェクトを変更できます。役割の被割り当て者が排他スコープまたは同等物を割り当てられていない場合は、排他スコープ以外の点ではオブジェクトを含むスコープが自らの役割に含まれているとしても、役割の被割り当て者はそのスコープに一致するオブジェクトを変更できません。排他スコープは、排他的ではない他の正規のスコープより優先されます。この動作は、Active Directory アクセス制御リスト (ACL) の機能のうちアクセス制御エントリ (ACE) を拒否する方法に類似しています。When you create an exclusive scope, only those who are assigned that exclusive scope, or an equivalent exclusive scope, can modify the objects that match the scope. Role assignees who aren't assigned that exclusive scope, or an equivalent, can't modify the objects that match the scope, even if their own roles have scopes that would otherwise include the objects. Exclusive scopes override any other regular scope that isn't exclusive. This behavior is similar to how a deny access control entry (ACE) on an Active Directory access control list (ACL) functions.

同等の排他スコープとは、同じオブジェクトの一部を別の排他的スコープと一致させる別の排他的スコープを指します。An equivalent exclusive scope refers to another exclusive scope that matches some of the same objects as another exclusive scope. これらのスコープでは、同一のオブジェクト セット全体が一致している必要はありません。The scopes don't have to match the same complete set of objects. 両方のスコープで、一致しているオブジェクトのうち一部または全部を変更できます。Both scopes may be able to modify some, or all, of the objects that match them.

排他スコープの作成Creating exclusive scopes

排他スコープは、他の明示的なスコープと同様に作成できます。あらかじめ構築された相対スコープ、受信者、データベース、またはサーバー フィルター、またはデータベースまたはサーバー リストを指定できます。正規のスコープが、スコープを管理役割の割り当てに関連付けるまでは有効にならないのとは異なり、排他スコープの拒否の機能は直ちに有効になります。このことは、排他スコープを作成した直後に、そのスコープ内に含まれているオブジェクトは、役割の割り当てを作成するまではどのユーザーからも直ちにアクセスできなくなることを意味します。Exclusive scopes can be created like any other explicit scope. You can specify a prebuilt relative scope; a recipient, database, or server filter; or a database or server list. Unlike regular scopes, which don't take effect until you associate a scope to a management role assignment, the deny aspect of an exclusive scope takes effect immediately. This means that as soon as an exclusive scope is created, the objects contained within that scope are immediately no longer accessible by any user until the role assignment has been created.

割り当てを作成した後、排他スコープによって、管理役割とスコープを割り当てられたユーザーがオブジェクトにアクセスできるようになります。他の同等の排他スコープが同じオブジェクトに一致している場合は、その排他スコープに関連付けられた役割の割り当ては、引き続きオブジェクトにアクセスできます。After the assignment has been created, the exclusive scope provides access to those assigned the management role and scope. If another equivalent exclusive scope matches the same objects, the role assignment associated with that exclusive scope is still able to access the objects.

管理スコープ フィルターの詳細については、「管理ロールのスコープ フィルターについて」を参照してください。For more information about management scope filters, see Understanding management role scope filters.

重要

Active Directory のレプリケーション時間に関して、排他スコープを含め、管理役割のあらゆる要素に変更を加えることを考慮に入れる必要があります。Active Directory replication times should be taken into account when making changes to any management role components, including exclusive scopes.

複数の排他スコープに含まれているオブジェクトが存在する場合は、それらの排他スコープのいずれかに割り当てられることにより、そのオブジェクトにアクセスできます。If you have objects contained within more than one exclusive scope, being assigned to any one of the exclusive scopes provides access to the objects. 詳細については、後の「排他的および正規のスコープの相互作用」を参照してください。For more information, see Exclusive and regular scope interaction later in this topic.

排他スコープによって制御されるのは、役割の割り当てのうち明示的な受信者または構成の書き込みスコープのみです。ユーザーまたはグループに対して割り当てられた役割のうち、暗黙の受信者または構成の読み取りスコープは引き続き適用されます。これは、次のように適用されることを意味します。Exclusive scopes control only the explicit recipient or configuration write scope of a role assignment. The implicit recipient or configuration read scope of the role assigned to a user or group still applies. This means that the following applies:

  • 役割を割り当てられたユーザーまたはグループは、役割の暗黙的な読み取りスコープに一致するオブジェクトを引き続き表示できます。Those assigned a role continue to see objects that match the role's implicit read scope.

  • 他の役割の読み取りスコープにオブジェクトが含まれている場合は、他の役割を割り当てられたユーザーまたはグループは、排他スコープに含まれているオブジェクトを表示できる可能性もあります。ただし、オブジェクトを変更できるのは、排他スコープに関連付けられた役割を割り当てられたユーザーまたはグループのみです。Those assigned other roles may be able to see objects contained within an exclusive scope, if the read scopes of the other roles include the objects. However, the objects can only be modified by those who are assigned a role associated with the exclusive scope.

排他スコープを使用できるのは、管理役割または専門家役割のみであり、エンド ユーザー役割からは使用できません。役割の詳細については、「管理の役割について」を参照してください。Exclusive scopes can only be used with administrative or specialist roles and can't be used with end-user roles. For more information about roles, see Understanding management roles.

排他的および正規のスコープの相互作用Exclusive and regular scope interaction

このセクションの最後の図に、排他スコープの相互間、および排他スコープと正規のスコープの間でどのような相互作用が発生するかを示します。図の中に示すすべてのユーザーには、次の属性が関連付けられています。The figure at the end of this section illustrates how exclusive scopes interact with each other, and with regular scopes. The users in the figure all have the following attributes associated with them.

ユーザーUser 市区町村City タイトルTitle 部署Department

TerryTerry

VancouverVancouver

経理担当Accountant

経理Accounting

DavidDavid

VancouverVancouver

ライターWriter

マーケティングMarketing

WalterWalter

VancouverVancouver

マネージャーManager

マーケティングMarketing

BobBob

VancouverVancouver

CEOCEO

取締役Board

ChristineChristine

VancouverVancouver

社長President

取締役Board

FredFred

VancouverVancouver

CFOCFO

役員Executives

MartinMartin

VancouverVancouver

CIOCIO

役員Executives

KimKim

VancouverVancouver

副社長、事業担当Vice President, Operations

役員Executives

JenniferJennifer

VancouverVancouver

副社長、技術担当Vice President, Technology

役員Executives

図に示す次の 3 つの管理役割の割り当てを使用して、前述の表に示したユーザーを管理します。それぞれにスコープが関連付けられていて、そのうちのいくつかは排他的なスコープです。The following three management role assignments in the figure manage the users in the preceding table. Each has an associated scope, some of which are exclusive scopes.

役割の割り当てRole assignment スコープ フィルターScope filter 排他または正規Exclusive or regular

"受信者管理者"Recipient Administrators

"City = Vancouver/都市 = バンクーバー"City = Vancouver

正規Regular

"VIP 管理者"VIP Administrators

"Title = CEO or CFO or CIO or President/役職 = CEO または CFO または CIO または社長"Title = CEO or CFO or CIO or President

排他Exclusive

"エグゼクティブ管理者"Executive Administrators

"Department = Executives/部署 = エグゼクティブ"Department = Executives

排他Exclusive

"受信者管理者" という役割の割り当てには、すべてのユーザーに一致するスコープがあります。すべてのユーザーは、Vancouver に配置されているからです。排他スコープは 1 つも対応していないため、"受信者管理者" の役割の割り当てによって、すべてのユーザーを管理できます。ただし、この組織では 2 つの排他スコープを作成しました。"VIP 管理者" と "エグゼクティブ管理者" です。これらの排他スコープにより、それぞれのスコープ フィルターに一致するユーザーを誰が管理できるかを制限します。"VIP 管理者" という役割の割り当てには、役職が CEO、CFO、CIO、社長のいずれかであるあらゆるユーザーに一致するスコープ フィルターがあります。"エグゼクティブ管理者" という役割の割り当てには、エグゼクティブ部門に所属するあらゆるユーザーに一致するスコープ フィルターがあります。The Recipient Administrators role assignment has a scope that matches all of the users because every user is located in Vancouver. Without any exclusive scopes, this would mean that the Recipient Administrators role assignment could manage any of the users. However, this organization has created two exclusive scopes: VIP Administrators and Executive Administrators. These exclusive scopes restrict who can manage the users that match their respective scope filters. The VIP Administrators role assignment has a scope filter that matches any user who has a title of CEO, CFO, CIO, or President. The Executive Administrators role assignment has a scope filter that matches any user who is in the Executives department.

正規のスコープと排他スコープが評価されるときに、次の結果が得られます。When the regular and exclusive scopes are evaluated, the following is the result:

  • "受信者管理者" という役割の割り当てを使用して、ユーザー Terry、David、および Walter を管理できます。この役割の割り当てでは、他のどのユーザーも管理できません。他のユーザーは "VIP 管理者" および "エグゼクティブ管理者" という役割の割り当てに対応する排他スコープ フィルターに一致するからです。The Recipient Administrators role assignment can manage the users Terry, David, and Walter. This role assignment can't manage any of the other users because they match the exclusive scope filters of the VIP Administrators and Executive Administrators role assignments.

  • "VIP 管理者" という役割の割り当てを使用して、ユーザー Bob、Christine、Fred、および Martin を管理できます。これは、この役割割り当てに関連付けられている排他スコープ フィルターが、これらのオブジェクトの属性と一致するためです。この役割の割り当てでは、ユーザー Kim および Jennifer を管理できません。これらのユーザーの属性は、この排他スコープに一致しないからです。The VIP Administrators role assignment can manage the users Bob, Christine, Fred, and Martin. This is because the exclusive scope filter associated with this role assignment matches the attributes on these objects. This role assignment can't manage the users Kim and Jennifer because their attributes don't match this exclusive scope.

  • "エグゼクティブ管理者" という役割の割り当てを使用して、ユーザー Kim、Jennifer、Fred、および Martin を管理できます。これは、この役割割り当てに関連付けられている排他スコープ フィルターが、これらのオブジェクトの属性と一致するためです。この役割の割り当てでは、ユーザー Bob および Christine を管理できません。これらのユーザーの属性は、この排他スコープに一致しないからです。The Executive Administrators role assignment can manage the users Kim, Jennifer, Fred, and Martin. This is because the exclusive scope filter associated with this role assignment matches the attributes on these objects. This role assignment can't manage the users Bob and Christine because their attributes don't match this exclusive scope.

Fred および Martin は、両方の排他スコープからアクセスできることに注意してください。これらのユーザーの属性は、両方の排他スコープのフィルターに一致するからです。Notice that Fred and Martin are accessible by both exclusive scopes. This is because the attributes on these users match the filters of both exclusive scopes.

排他スコープと正規のスコープの間での相互作用Interaction between exclusive scopes and regular scopes

排他的および正規のスコープの相互作用Exclusive and regular scope interaction

管理のスコープの詳細については、「管理役割スコープについて」を参照してください。For more information about management scopes, see Understanding management role scopes.